Ah, les dépôts tiers et leurs aléas…

J’ai souvent eu la dent dure sur l’utilisation abusive des dépôts PPA pour les distributions de la famille Ubuntu. Quand on voit des horreurs comme la FerenOS qui arrive à accumuler quelque chose comme 20 ou 30 dépôts tiers, on se dit que cela finira un jour par partir en cacahuètes. Je vous renvoie à cette vidéo concernant une des préversions de la PinguyOS 18.04 qui n’était pas franchement mieux au final…

On est dans quelque chose qui ressemble à un film d’horreur de série Z. En allant sur distrowatch, j’ai pu lire une énième fois une information concernant le dépôt tiers AUR.

Cette brève reprend un article qui parle de l’existence de recettes sur AUR trafiquées pour installer un logiciel malin qui fait fortement penser à un mineur de crypto-monnaie. En effet, dans l’article on apprend que la modification – appliquée sur le paquet Acroread. Si on regarde les commentaires, on s’aperçoit que la modification avait été introduite le 7 juillet 2018, et que celle-ci a été retirée dans les heures qui ont suivi après un Trusted User. Il n’est pas possible de savoir le nombre de personnes qui ont récupéré la recette malicieuse.

Le compte utilisateur frauduleux a été éjecté au passage. Je l’ai souvent précisé dans mes vidéos, il faut utiliser AUR que lorsque l’on ne trouve pas un logiciel sur les dépôts officiels. Aucun dépôt tiers n’est parfait. Ce qui fait la force d’AUR, c’est que les paquets précompilés sont inexistants, et que toute modification au niveau des recettes sera rapidement vue. Évidemment, si le code source à l’origine est vérolé, la recette n’y changera pas grand chose.

Autre règle de survie : ne jamais installer de noyau en provenance d’un dépôt tiers, ni de logiciels de bas niveau, du genre bibliothèque C… Le risque zéro restera inexistant. Il ne faut pas oublier que Gentoo a été aussi compromise via un de ses miroirs fin juin 2018.

Combien de temps avant qu’un PPA frauduleux ne fasse parler de lui ? Les paris sont ouverts 🙂

18 réflexions sur « Ah, les dépôts tiers et leurs aléas… »

  1. J’ai utilisé Linux Ubuntu pendant plusieurs années.
    Au début, je me suis dit cool, c’est libre …. Mais il reste à perfectionner l’ensemble des os Linux prise en charge des drivers graphiques pour le son ….
    Mais des grandes structures comme Debian , Ubuntu … Il y a du monde qui bosse non ? Et des pro enfin, je pense.
    En fait, c’est comme un petit coup de gueule mon message.
    J’utilisais Ubuntu KDE 16.04 encore récemment, mais j’ai tout viré.
    Car premièrement, Ubuntu nous installe plein de trucs inutiles ensuite la prise en charge des drivers propriétaires sont bancals, j’ai eu 2 plantages graphiques écran noir dans l’année à cause du driver Nvidia
    Le driver nouveau le truc où tu ne peux pas avoir de réglage … Bref, c’est naze.
    Pour les cartes son, je n’en parle même pas son pourri…lol.
    Comme vous l’avez souvent dit dans vos vidéos les mecs au lieu de se réunir pour créer un OS de qualité, non, c’est a celui qui va avoir la plus grosse et pondre des merdes.
    Je change les icônes le fond d’écran et je renomme le truc et je me la joue « moi, j’ai une distribution. »
    Non mais sérieux les mecs.
    Sur mon ordi perso celui avec lequel je joue (steam) je suis revenu sous Windows depuis plusieurs années
    Windows 10 car les drivers de mes périphériques sont pris totalement en charge , son, graphique, clavier…
    Jamais Linux pourra rattraper son retard pour l’utilisateur lambda pas avec leurs trucs tout bancals qui merde style écran noir avec une mise a jour drivers Nvidia qui plus et c’était le seul driver propriétaire sur le pc sans ppa.
    Vous imaginez le mec le matin fait la mise à jour après le reboot il se dit tient, je vais lire mes mails, ensuite travailler sur son pc ….. Et là au reboot boom écran noir si le mec a très peu de connaissance ….
    Franchement, Linux restera où il se trouve…dommage.
    Je continuerai à l’utiliser, mais sur des pc pour faire mumuse tout simplement.
    Attention, je ne crache pas sur Linux.
    Et merci pour votre blog Fred.

    1. Bonjour,

       » Vous imaginez le mec le matin fait la mise à jour après le reboot il se dit tient, je vais lire mes mails, ensuite travailler sur son pc ….. Et là au reboot boom écran noir si le mec a très peu de connaissance  »

      C’est valable aussi pour des utilisateurs de Windows, une simple recherche sur le net, vous le prouveras.

       » Jamais Linux pourra rattraper son retard pour l’utilisateur lambda  » Linux n’as pas de « retard ».

      Ce sont les fabricants de périphérique qui développent les drivers. Et comme les fabricants de pc sont liés par contrat à Microsoft…

      Personnellement, j’ai une 1050 Ti qui fonctionne comme un charme, avec un dépôt alimenté directement par Nvidia. Jamais eu aucun problème.

      Je pourrais vous parler des écrans bleu sous Windows 7 que j’ai eu avec des pilotes Catalyst, mais est-ce nécessaire?

      Par contre, là ou je vous rejoint, c’est qu’une base Debian supporte mal mon matériel.

      Linux évolue, petit à petit, et Microsoft à aussi son intéret dans les solutions Azure….

      Cela fait quelques années maintenant que je suis intégralement passé sous Linux et je n’ai aucuns problèmes, que ce soit techniquement parlant, ou dans l’utilisation.

       

       

      1. Bouarf, Linux ou Windows qui plante. Je pense que le problème vient surtout des mecs qui savent pas les installer. Moi je sais installer Windows correctement, Linux, non.

        Windows installé correctement, avec des logiciels installés correctement et proprement, ça plante pas, jamais. Difficile de faire intégrer ça. Tu achète un PC Windows chez ASUS par exemple, première chose à faire, tu formates et tu installes Windows 10 de Microsoft. Entend par là pas de surcouche bancale de ASUS. Tu actives ton OS avec un numéro de série, tu fais les mises à jour, une fois qu’elles sont finies tu installes tes logiciels (sans crack, facile de dire que Windows merde quand on installe n’importe quoi n’importe comment). On garde l’antivirus Windows (on installe pas un truc pas intégré correctement au système). Et dernière chose, on installe pas CCleaner qui vient taper dans la base de registres alors qu’il a rien à y foutre.

        Et voilà, magique. Les drivers des périphériques viennent des serveurs Microsoft testés et approuvés, pas de logiciel cracké, pas de logiciel qui supprime des fichiers importants du système, et un antivirus intégré.

        Comme quoi, quand on fait les choses proprement, ça marche et ça marche bien. Et je pense que sous Linux c’est la même chose. Petite parenthèse pour finir, W7, faut arrêter, on est sur le 10 depuis plusieurs années là.

        1. Je confirme ton témoignage sur la fiabilité de W10 installé et utilisé de cette façon.

          Mais je peux dire aussi la même chose de mon PC fixe, sous Archlinux, et de mon autre PC portable qui est sous Ubuntu Mate. Ils tournent aussi comme des horloges.

          Par contre, je connais des personnes dans mon entourage qui sont capables de transformer n’importe quel OS en une véritable catastrophe en très peu de temps. Et même un Linux.

          Bref, comme d’habitude l’interface chaise-clavier est primordiale… et si l’utilisateur n’est pas intéressé par l’administration de sa machine, ou alors tout simplement idiot, alors point de salut.

  2. Oui, Linux n’est pas parfait, le nombre de distributions sérieuses assez conséquent donc les ressources dispersées… on est d’accord.

    Mais le plus gros problème c’est peut être les utilisateurs qui commencent à faire de plus en plus n’importe quoi.

    Il y a 10 ans, quand les paquets de la distributions ne proposaient pas le truc nouveau fantastique indispensable, la solution était de se taper la compilation. Et ça bloquait au moins 99% des utilisateurs. Le peu qui le faisait était capable de corriger le problèmes éventuels.

    Maintenant, il est plus simple d’installer Linux que Windows (je ne parle pas des pré-installés), devenu simple et facile d’aller piquer des PPA Ubuntu pour installer des softs sur Debian. Des trucs la plupart du temps pas bien fiables ni contrôlés. Des sites proposent des PPA ou DEB Ubuntu quand on choisi de downloader la version « Linux base Debian »… Des RPM pour tout ce qui utilise les RPM,  tient je ne savais pas que openSuse, Mageia, Red Hat (et d’autres) avait fusionnés ! C’est un peu risqué.

    On arrivera bientôt à ce qui se faisait (fait encore j’imagine) sous Windows : télécharger n’importe quel setup avec n’importe quels malware intégré.

    On voit de plus en plus de débutant appeler au secours après la grosse casse avec des configs de sources dont je me demande comment elles n’ont pas tout cassé plus vite.

    Forcément, l’idée générale ensuite pour ces bidouilleurs amateurs c’est « Linux ? Un truc de geek, pas stable, toujours les mains dans le cambouis, le dernier soft à la mode n’y marche pas… ».

    Pendant ce temps là, le gars qui ne surestime pas ses compétences n’a aucun problème pendant des années.

     

    1. @phreg

       » tient je ne savais pas que openSuse, Mageia, Red Hat (et d’autres) avait fusionnés !  »

      Ils n’ont pas fusionnés !! 😉

      C’est un format de paquet commun, crée à l’époque par RedHat.

      Pour sécuriser un peu tous ça, openSUSE utilise l’OBS (openSUSE Build Service), et ont peu éventuellement l’utiliser pour d’autres distribution.

      Effectivement beaucoup de distribution n’ont pas l’équivalent de l’OBS, qui est déjà un premier « filtre » à un éventuel logiciel malveillant.

       » On arrivera bientôt à ce qui se faisait (fait encore j’imagine) sous Windows : télécharger n’importe quel setup avec n’importe quels malware intégré  »

      Allez c’est Vendredi [Troll on] On appelle ça un Snap !! 🙂 [/Troll off]

      🙂

  3. AUR et les PPA n’ont pas le même but, non ?

    Les PPA, c’est individuel, n’importe qui peut y mettre n’importe quoi, c’est normal ça marche comme ça.

    Par contre il existe des dépôts gérés « plus sérieusement » : universe par exemple qui n’est pas obligatoire mais conseillé par il est rempli de paquets très utiles, il y a restricted et multiverse, plus les dépôts de sécurité, etc.

    Y’a pas sous Arch de possibilité de distribuer ses propres softs via un système identique à AUR mais sans le contrôle de la distrib. ?

    1. AUR est centralisé, surveillé par des trusted users qui sont actuellement près d’une cinquantaine. Cf https://www.archlinux.org/people/trusted-users/. Qui contrôle les PPA ? Personne.

      Déjà, vu la logithèque disponible sur les dépôts officiels, AUR n’est à utiliser qu’au coup par coup. Pour ta dernière question, il y a un certain nombre de dépôts tiers pour cela : https://wiki.archlinux.org/index.php/Unofficial_user_repositories

          1. Ok.

            Mais du coup l’intérêt d’un PPA existe : permettre à n’importe qui de faire un soft et de bénéficier d’APT, en gros.

            Après, installer un PPA sans réfléchir = clickdrome sur du malware sous Windows.

            On n’interdit pas les couteux sous prétexte que ça peut tuer autrui.

            Du coup, une distro qui met du PPA, c’est pas sérieux ou alors faut vraiment un gros contrôle.

            ElementaryOS fait pas ça ?

            1. Le problèmes des PPA vient d’un manque de contrôle justement. On peut faire tout et n’importe quoi. Une distribution qui démultiplie les PPA ? À éviter comme la peste. Quant à ElementaryOS, je n’aime pas les interfaces plus castrées que celle de MacOS, désolé !

Les commentaires sont fermés.